Rutin för klassning av information

Inledning och Syfte

Information behandlas mer eller mindre i alla kommunens verksamheter. Inom varje verksamhet behandlas även många olika typer av information. En viss typ av information kan vara känslig, medan en annan typ kan vara viktig att alltid ha tillgång till. Oavsett vilken typ av information man behandlar så behöver den skyddas eftersom den är nödvändig för att verksamheten ska kunna uppnå sina mål.

All information kan inte skyddas på samma sätt och informationen har inte heller samma behov av skydd. Ett exempel på informationstyper med olika behov kan vara nyheter till medborgare på kommunens hemsida jämfört med en handling som omfattas av sekretess. Nyheterna på hemsidan behöver vara tillgängliga och handlingen som omfattas av sekretess måste skyddas från obehörig åtkomst. I det ena fallet behöver informationen vara tillgänglig och det andra fallet ska tillgången till informationen begränsas. Skyddsåtgärderna måste reflektera detta behov för att informationen ska få rätt skydd.

För att kunna fördela resurserna effektivt och ge informationen rätt skydd måste en bedömning av informationen genomföras. Kommunen har valt att arbeta med Sveriges kommuner och landstings (SKL) verktyg för klassning. SKL:s verktyg utgår ifrån Myndigheten för samhällsskydd och beredskaps (MSB) modell för klassning av information. Denna rutin kommer också att utgå från MSB:s modell, men i huvudsak följer den SKL:s vägledning. Informationens klassning beskriver behovet av skydd och ska vara en grundförutsättning för vidare analyser, åtgärder och beslut.

Resurser är alltid begränsade och de kommer aldrig vara tillräckliga för att eliminera alla risker. Klassning av informationen skapar förutsättningar för att fördela resurserna effektivt genom att identifiera informationen med större behov av skydd. Resultatet är en ökad nivå av informationssäkerhet för hela kommunen. Syftet med rutinen är att förenkla processen med att klassa information.

Ansvar

Huvudansvaret för verksamheternas hantering av information vilar på enhetschefen. Enhetschef delegerar normalt ut uppgifter till internt ansvariga för olika funktioner. Nyckelroller vid användning av klassificeringsmodellen är verksamhetsansvarig, informationsägare, funktionsföreträdare eller motsvarande, eftersom dessa normalt är ansvariga för att information inom deras verksamhetsansvar får en korrekt klassificering.

Frekvens

Rutinen kan användas för att analysera en specifik typ av information, informationsmassa eller ett IT-system.

Rutinen förutsätter att all information som hanteras inom kommunen skall klassificeras. I praktiken är dock syftet inte att i varje situation klassificera varje enskilt informationsobjekt/dokument. En inledande identifiering/inventering av huvudtyper av information i verksamheten kan lämpligen utföras före klassning.

Av praktiska skäl kan tillgångarna (IT-system eller motsvarande) i dessa fall klassificeras istället.

Vad är klassning av information

När vi klassar information utgår vi ifrån de tre centrala informationssäkerhetsperspektiven:

  • Konfidentialitet
  • Riktighet
  • Tillgänglighet

Konfidentialitet innebär att begränsa åtkomst till informationen till de som är behöriga att få ta del av den.

Riktighet innebär att informationen alltid ska gå att lita på, att den är korrekt och inte är manipulerad eller förstörd.

Tillgänglighet innebär att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet.

Olika informationstyper har olika behov av skydd och detta utrycker sig i nivåer av perspektiven. Nivåerna är baserade på konsekvenser. Ju högre nivå av konfidentialitet, riktighet eller tillgänglighet, desto allvarligare konsekvens. Konsekvens kan påverka individ, verksamhet, annan organisation, med flera. Bedömningen av konsekvensen är central i klassningen och är vad som avgör till vilken grad klassningen stämmer överens med verkligheten.

MSB:s klassningsmodell

Tabellen nedan är MSB:s klassningsmodell med en liten modifikation. Nivå 0 (ingen skyddsnivå) har exkluderats då utgångspunkten ska vara att all information i kommunen ska ha ett grundläggande skydd. Under tabellen beskrivs varje nivå för varje perspektiv.



Konfidentialitet (K)


Riktighet (R)


Tillgänglighet (T)


3




Allvarlig

Hög skyddsnivå


K3
Information där förlust av konfidentialitet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.


R3
Information där förlust av riktighet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.


T3
Information där förlust av tillgänglighet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.



2




Betydande
Utökad skyddsnivå


K2
Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.


R2
Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.


T2
Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.


1




Måttlig
Grund-läggande skyddsnivå


K1
Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.

R1
Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.

T1
Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.



K1

Röjande av informationen medför måttlig skada:

  • Inga märkbara större svårigheter för verksamheten att nå målen
  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation
  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan

K2

Röjande av informationen medför betydande skada:

  • Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder)
  • Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte
  • Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen

K3

Röjande av information medför allvarlig skada:

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen
  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
  • Individers liv och hälsa äventyras

R1

Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför måttlig skada:

  • Inga märkbara större svårigheter för verksamheten att nå målen
  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation
  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan

R2

Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför betydande skada:

  • Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder)
  • Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte
  • Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen

R3

Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför allvarlig skada:

  • Skapar stora svårigheter för verksamheten. Omöjligt eller nästan omöjligt att fullfölja uppdragen
  • Samhällsviktiga funktioner vid egen eller annan myndighet påverkas sannolikt.
  • Individers liv och hälsa äventyras

T1

Ett avbrott medför måttlig skada (avbrott i ett par veckor):

  • Inga märkbara större svårigheter för verksamheten att nå målen
  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation
  • Externa individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan
  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet

T2

Ett avbrott medför betydande skada (avbrott i ett par dagar):

  • Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder)
  • Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner vid egen eller annan organisation påverkas troligen inte
  • Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen
  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en betydande omfattning av otillgänglighet till systemet

T3

Ett avbrott medför allvarlig skada (avbrott är oacceptabla):

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen
  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
  • Individers liv och hälsa äventyras
  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet

Klassa IT-system

När ett IT-system ska klassas ska SKL:s verktyg KLASSA användas. Med hjälp av verktyget klassar man informationen i systemet och bedömer till vilken grad IT-systemet uppfyller informationssäkerhets- och lagkrav. Resultatet av en klassning i verktyget är en nulägesbild av IT-systemets skydd samt en åtgärdsplan för eventuella brister. Steg 1 i verktyget KLASSA är klassning av informationen i IT-systemet. Denna rutin ska endast användas för det steget.

Utförande

  1. Förberedelser
  • Om du aldrig klassat, läs igenom ovanstående stycke ”Vad är klassning av information
  • Identifiera vilka lagar som informationen omfattas av
  • Ta reda på hur länge verksamheten klarar sig utan informationen vid händelsen av ett avbrott (inte alls, dagar eller veckor)
  1. Klassning

Inledningsvis ska lagkraven beaktas. De lagkrav som påverkar klassningen är:

  • OSL - Med sannolikhet hamnar information som är sekretessklassad enligt OSL i klassningen K2eller K3.
  • DSF/GDPR - Med sannolikhet hamnar harmlösa personuppgifter i klassificeringen K2, R2 och T2.

I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas gäller klassningen K3 och i vissa fall även R3.

  • PDL - Med sannolikhet hamnar patientdata i klassificeringen K2, R2 och T2.

I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas gäller klassningen K3.

I sammanhang med mycket höga krav på riktighet, exempelvis ordinationer, gäller klassningen R3.

  • NIS - Med sannolikhet hamnar tjänster/system som omfattas av NIS i klassificeringen K3, R3 och T3.
  • Säkerhetsskyddslagen - Med sannolikhet hamnar hanteringen av hemliga handlingar och uppgifter i klassificeringen K4, R4 och T4.

Om systemet hanterar rättigheter (antingen i sitt eget system eller för andra system) är den sannolika klassningen K2 och R2 eller K3 och R3.

Slutligen ska en bedömning göras på den enskilda verksamheten. Utgå ifrån MSB:s klassningsmodell och konsekvensbeskrivningarna (se ovan). Alla verksamheter är olika och en bedömning måste därför göras ifall de perspektiven utifrån lagkraven klassats till 2 behöver öka till nivå 3. I de fall där inga av ovanstående lagkrav gäller utgår hela klassningen från er bedömning utifrån MSB:s klassningsmodell. Notera att om klassningen bedömer till konsekvensnivå 4 omfattas informationen av säkerhetsskyddslagen. Det innebär att säkerhetsskyddschefen ska kontaktas för vidare bedömningar.

  1. Resultat

Resultatet ska vara en dokumenterad nivå för varje perspektiv:

  • Konfidentialitet = 1-4
  • Riktighet = 1-4
  • Tillgänglighet = 1-4